CISA liefert ESXi Args Recover-Tool zur Datenrettung

B2B Cyber Security ShortNews
Anzeige

Beitrag teilen

Bei den schweren Cyberattacken auf tausende ältere, ungepatchte VMare ESXi-Server wurde viele virtuelle Maschinen mit der ESXiArgs-Ransomware infiziert und verschlüsselt. ESXiArgs-Recover ist ein Tool der CISA, das bereits in einigen Fällen die Daten wiederherstellen konnte.

Der CISA ist bekannt, dass einige Unternehmen von einer erfolgreichen Wiederherstellung von Dateien ohne Lösegeldzahlung berichtet haben. Die CISA hat dieses Tool auf der Grundlage öffentlich zugänglicher Ressourcen zusammengestellt, darunter ein Tutorial von Enes Sonmez und Ahmet Aykac. Dieses Tool rekonstruiert die Metadaten virtueller Maschinen von virtuellen Festplatten, die nicht von der Malware verschlüsselt wurden.

Anzeige

Das sagt VMware aktuell zur Attacke

VMware hat sich zu den Beobachtungen der vergangenen Tage geäußert Dabei stellt das Unternehmen fest, dass für die Angriffe nach bisherigen Erkenntnissen ausschließlich Schwachstellen genutzt werden, die bereits länger bekannt sind. Eine detailliertere Spezifikation erfolgte jedoch nicht. Insofern kann nicht ausgeschlossen werden, dass neben CVE-2021-21974 auch andere, bereits gepatchte Sicherheitslücken zum Einsatz kommen.
Während derzeit Vieles darauf hinweist, dass bereits infizierte Systeme aufgrund der fehlerfreien Verschlüsselung nicht mehr wiederhergestellt werden können, gelang möglicherweise die Bereinigung in vereinzelten Fällen auf Basis des Skripts.

Laut BSI: Definitiv bestätigt sind hingegen Attacken auf Ziele in Deutschland. In dieser Woche meldeten sich mehrere deutsche Institutionen beim BSI, nachdem Angriffe auf deren Server stattgefunden hatten. Gleichzeitig nahm die Anzahl der potenziell verwundbaren Ziele laut dem BSI in Deutschland ab. Dies deutet darauf hin, dass diese Systeme zwischenzeitlich gepatcht oder ihre Erreichbarkeit aus dem Internet eingeschränkt wurde.


ESXiArgs-Wiederherstellungs-Tool

Wie das BSI berichtet, hat die CISA ein Skript veröffentlicht, das Systeme, die im Rahmen der ESXiArgs-Angriffe verschlüsselt wurden, in einigen Fällen wiederherstellen kann. Das Tool basiert auf den Erkenntnissen verschiedener Quellen. ESXiArgs-Recover ist ein Tool, mit dem Unternehmen versuchen können, virtuelle Maschinen wiederherzustellen, die von den ESXiArgs-Ransomware-Angriffen betroffen sind.

In diesem Zusammenhang bestätigte das französische CERT (CERT-FR), dass insbesondere dann eine Chance zur Wiederherstellung bestehe, wenn lediglich Konfigurationsdateien (.vmdk) verschlüsselt und mit der Erweiterung .args umbenannt wurden. Mehrere erfolgreich erprobte Verfahren seien dokumentiert.

Zum ESXiArgs-Recover-Tool bei GitHub.com

 

Passende Artikel zum Thema

Security: BSI-Handbuch für Unternehmensleitung

Das BSI verteilt das neue international erscheinende Handbuch „Management von Cyber-Risiken“ für die Unternehmensleitung. Das mit der Internet Security Alliance ➡ Weiterlesen

Ransomware: Attacke auf Schweizer Medienverlag und NZZ

Die Neue Züricher Zeitung - NZZ meldete vor ein paar Tagen eine Attacke auf ihr Netzwerk und konnte daher nicht ➡ Weiterlesen

Chinesische Cyberangreifer zielen auf Zero-Day-Schwachstellen

Gefundene Zero-Day-Schwachstellen werden oft von einzelnen APT-Gruppen ausgenutzt. Laut Mandiant greifen chinesische Cyberangreifer immer mehr Zero-Day-Schwachstellen an. Der Bericht belegt ➡ Weiterlesen

Verwundbarkeit durch Cloud Bursting

Als Technik zur Anwendungsbereitstellung ermöglicht Cloud Bursting die Vereinigung des Besten aus beiden Welten. Auf der einen Seite ermöglicht es ➡ Weiterlesen

Chrome dichtet 7 hochgefährliche Lücken ab

Das Bug-Bounty-Programm von Chrome lohnt sich: Programmierer und Spezialisten haben 7 hochgefährliche Sicherheitslücken an Google gemeldet und eine Belohnung erhalten. ➡ Weiterlesen

Outlook-Angriff funktioniert ohne einen Klick!

Selbst das BSI warnt vor der Schwachstelle CVE-2023-23397 in Outlook, da diese sogar ohne einen einzigen Klick eines Anwenders ausnutzbar ➡ Weiterlesen

USB-Wurm wandert über drei Kontinente

Die längst verstaubt geglaubte Masche eines USB-Sticks mit Schadsoftware wurde tatsächlich noch einmal aus der Cybercrime-Kiste geholt. Der bekannte Wurm ➡ Weiterlesen

Vulnerability Management erstellt Cyber Insurance Report

Nutzer eines Tenable Vulnerability Management-Konto können ab sofort einen Cyber Insurance Report für ihren Cyberversicherungsanbieter erstellen. Das erleichtert die Versicherbarkeit hilft ➡ Weiterlesen